Zo’n 1.100 verschillende instanties, waaronder gemeenten, inspectiediensten, de NS en Staatsbosbeheer, werken met Buitengewoon opsporingsambtenaren. Deze instanties staan voor een nieuwe uitdaging op het gebied van privacy, de zogenaamde ‘Wpg-audit’. Wat is dat precies? Moet ik als organisatie dit zelf doen? Wanneer moet ik dat doen?
De scheidslijn tussen de AVG en de Wpg!
Ongeveer 23.700 Buitengewoon opsporingsambtenaren (Boa’s) in Nederland helpen mee met toezicht houden op de lokale orde en veiligheid. Er zijn zo’n 4.000 gemeentelijke handhavers, 2.450 Milieu-boa’s, 850 leerplichtambtenaren, 4.800 boa’s openbaar vervoer, 700 Sociaal Rechercheurs en 10.800 boa’s generieke opsporing.
Deze Boa’s hebben in hun dagelijkse werk eigenlijk altijd twee petten op, stelt Marius van Rijswijk in het artikel ‘De Boa met twee petten; welke heb jij op?’
Dat komt omdat sommige gegevens die zij verwerken onder de Algemene verordening gegevensbescherming (AVG) vallen, andere gegevens vallen onder de Wet politiegegevens (Wpg).
Juist door die, vaak dunne, scheidslijn tussen de AVG en Wpg, neemt de kans op boetes en imagoschade toe. De Boa heeft een onmisbare rol in het voorkomen van onrechtmatige gegevensverwerking: ‘Boa in dienst? Voorkom boetes en imagoschade door onrechtmatige gegevensverwerking’.
Welke organisaties moeten een Wpg laten uitvoeren?
Alle instanties die Boa’s in dienst hebben zullen een Wpg-audit moeten uitvoeren. Sinds 2019 vallen (persoons)gegevens die een Boa’s verwerkt als opsporingsambtenaar, onder de Wpg. In de Wpg worden eisen gesteld aan de verwerking van politiegegevens om misbruik tegen te gaan en de privacy van burgers te waarborgen. Dus, als je Boa’s in dienst hebt hebben zij vrijwel zeker te maken met de ‘Twee-petten-problematiek’.
Is er een deadline voor de Wpg-audit?
Jazeker. De eerste externe Wpg-audit moet in 2021 zijn uitgevoerd door een geregistreerde IT Auditor (RE). Daarna moet de Wpg-audit elke vier jaar herhaald worden. Ook zul je de resultaten uit deze audit moeten delen met de Autoriteit Persoonsgegevens. Doe je dat niet, dan kan de toezichthouder handhavend optreden. De Wpg verplicht overigens ook om jaarlijks een interne privacy audit te laten uitvoeren.
Wat wordt er eigenlijk precies geaudit?
De Wpg-audit focust eigenlijk op drie zaken:
- de wijze waarop het verwerken van politiegegevens is georganiseerd;
- de maatregelen en procedures die daarop van toepassing zijn; én
- de werking van deze maatregelen en procedures.
Meer over de inhoud van de Wpg-audit staat beschreven in de Regeling periodieke audit politiegegevens.
Geef je op voor onze kennissessie Wpg!
Wil je meer weten over de Wpg-audit of je alvast aanmelden voor de volgende kennissessie in september? Neem dan contact met ons op. Elke deelnemer ontvang onze ‘Praktijkgids Wpg’: een praktische handreiking voor de Wpg-praktijk.